Aktion #60

SSL einrichten

Von Nicolai Parlog vor mehr als 3 Jahren hinzugefügt. Vor fast 3 Jahren aktualisiert.

Status:GeschlossenBeginn:11.06.2014
Priorität:NormalAbgabedatum:12.02.2015
Zugewiesen an:Nicolai Parlog% erledigt:

100%

Kategorie:Infrastruktur
Zielversion:Infrastruktur fertigstellen
Assoziiert mit:Nicolai Parlog

Beschreibung

Siehe SSL-Probleme. Prinzipiell bieten sowohl Alfahosting als auch Saas Secure SSL-Verschlüsselung an. Nach umfassender Recherche und Abwägung der Kosten (siehe unten) wurde beschlossen, nur orga.do-foss.de zu sichern.

Alfahosting / Blog

Eine Recherche in den Alfahosting FAQ zu dem Thema hat folgende Situation ergeben:

Je Tarif ist nur ein SSL-Zertifikat buchbar. Das günstige Power-SSL-Zertifikat (1,29 EUR / Monat) gilt allerdings nur für eine (Sub-)Domain. Um Redmine und Blog unter do-foss.de zu betreiben, benötigen wir mindestens zwei (Sub-)Domains, die aktuelle Strukturierung der Domains verwendet sogar drei.
Deswegen benötigen wir mindestens ein Multi-SSL-Zertifikat, das 6,99 EUR / Monat kostet.

Dazu kommen noch Kosten für eine statische IP (0,99 EUR / Monat).

Ein selbstsigniertes oder anderweitig erworbenes Zertifikat kann ebenfalls verwendet werden. Bei Alfahosting fällt neben einer Einrichtungsgebühr von 15 EUR weiterhin die Gebühr für die IP-Adresse an.

SaaS Secure / Redmine

Unser Redmine-Provoider SaaS Secure nimmt bereits https-Verbindungen an. Dabei wird jedes Zertifikat zwangsläufig sowohl für Verbindungen zu orga.do-foss.de als auch zur kanonischen Adresse saas1402qx.saas-secure.com verwendet. Die SaaS-URL wird aktuell mit dem Zertifikat von SaaS Secure gesichert, was korrekterweise keine Warnung hervor ruft. Bei Verbindungen mit orga.do-foss.de erhält der Nutzer allerdings eine Warnung, weil die Domain nicht zum Zertifikat passt.

SaaS Secure bietet an, Zertifikate für unsere Domain zu erstellen, aber das ist verhältnismäßig teuer. Die Einrichtung eines selbstsignierten oder anderweitig erworbenen Zertifikats ist hingegen kostenlos; der Einsatz kostet monatlich 0,19 EUR.

Ich habe bei SaaS Secure eine Support-Anfrage mit folgenden Fragen gestellt:
  1. fangen die Links in den Benachrichtigungsmails mit https an?
  2. funktioniert SSL zusammen mit dem Alias? (Also wäre der Redmine-Server dann unter https://orga.do-foss.de erreichbar ohne dass die Browser sich beschweren? Z.B. wegen einer URL, die nicht zum Zertifikat passt.)
  3. gibt es sonst etwas zu beachten?

Antwort:

Um in den Mails https Links zu bekommen, muss in den den Redmine Einstellungen https aktiviert sein.
SSL funktioniert auch mit einem Alias. Passt allerding der Alias nicht zum Domainnamen des Zertifikats, gibt es eine Warnung im Browser.
Wenn Sie für orga.do-foss.de ein Zertikat bestellen senden Sie uns bitte alle erhalten Informationen wie Key, Zertifikat und Root Zert. zu damit wir die Einrichtung vornehmen können.

Interpretation:
  1. die Redmine-Einstellung ist kein Problem
  2. die Alias-Sache klingt so, als müssten wir das Zertifikat bei Alfahosting für die dort verwaltete Domain do-foss.de erstellen lassen
  3. wie ist es sicherheitstechnisch zu bewerten, dass wir das gesamte Zertifikat rausrücken müssen?

Mögliche Szenarien

SSL für alle Domains

Für eine komplette Sicherung von do-foss.de fallen folgende Kosten an:

  • Multi-SSL-Zertifikat: 6,99 EUR / Monat
  • eine statische IP bei Alfahosting: 0,99 EUR / Monat
  • HTTPS-Gebühr bei SaaS Secure: 0,19 EUR / Monat
  • zusammen: ~ 98 EUR / Jahr

SSL für den Blog

Da der Blog und Piwik unter zwei verschiedenen Subdomains laufen und beide verschlüsselt werden müssen, muss das gleiche (teure) Zertifikat gewählt werden:

  • Multi-SSL-Zertifikat: 6,99 EUR / Monat
  • eine statische IP bei Alfahosting: 0,99 EUR / Monat
  • zusammen: ~ 96 EUR / Jahr

SSL für Redmine

Ausschließlich Redmine zu sichern wäre mit einem günstigen Zertifikat, z.B. von SSL-Trust möglich:

  • SSL-Zertifikat: ~ 2,90 EUR / Monat
  • HTTPS-Gebühr bei SaaS Secure: 0,19 EUR / Monat
  • zusammen: ~ 37 EUR / Jahr

Selbstsignierte Zertifikate

Selbstsignierte Zertifikate erzeugen grundsätzlich eine Warnung. Deswegen ist nicht davon auszugehen, dass sie umfangreich genutzt werden würden. Ein Einsatz im Blog ist dennoch denkbar, um überhaupt eine SSL-Verbindung zu ermöglichen. Im Redmine wiederum wäre sie kontraproduktiv, da dann weder über orga.do-foss.de noch über saas1402qx.saas-secure.com warnungsfrei mit Redmine kommuniziert werden könnte.

Vorhaben

Wegen der Kosten verzichten wir (schweren Herzens) zunächst auf die Verwendung eines SSL-Zertifikats für *.do-foss.de.

Stattdessen sichern wir nur die Redmine-Instanz wie oben beschrieben.

Umsetzung

Bei SSL-Trust wurde ein Zertifikat erstanden. Für Details zur aktuellen Situation siehe den Wiki-Artikel SSL.

Historie

#1 Von Nicolai Parlog vor mehr als 3 Jahren aktualisiert

  • Beschreibung aktualisiert (diff)
  • % erledigt wurde von 10 zu 20 geändert

Antwort von SaaS eingetragen - jetzt sind wir dran zu entscheiden, ob wir das wollen. Siehe dazu die Punkte 2. und 3. der Interpretation.

#2 Von Till Schäfer vor mehr als 3 Jahren aktualisiert

prinzipiell sollten wir auf verschlüsselte Kommunikation (https) setzten (alleine schon deshalb, damit keine Geheimdienst-Absaug-Einrichtung auf Massenbasis funktioniert). Die Kosten sind für mich OK. Das wir das Zertifikat unseren Hostern geben müssen, bleibt wohl nicht aus, solange man keinen eigenen Server bei uns zu Hause stehen haben.

#3 Von Anonym vor mehr als 3 Jahren aktualisiert

Ich stimme Till zu. Die Kosten sind dabei leider unumgänglich.

#4 Von Nicolai Parlog vor mehr als 3 Jahren aktualisiert

  • Thema wurde von Einsatz von SSL entscheiden zu SSL einrichten geändert
  • Beschreibung aktualisiert (diff)
  • % erledigt wurde von 20 zu 40 geändert

Beim Telefonat am 29.06.2014 wurde beschlossen, dass SSL unter diesen Bedingungen eingesetzt werden soll. Wenn eine Recherche in den Alfahosting FAQ zu dem Thema keine Überraschungen zu Tage fördert (insbesondere, was das Übertragen des Zertifikats an SaaS Secure angeht), soll ein Zertifikat bestellt werden.

#5 Von Nicolai Parlog vor mehr als 3 Jahren aktualisiert

  • Beschreibung aktualisiert (diff)
  • % erledigt wurde von 40 zu 50 geändert

Ergebnisse der Recherche bei Alfahosting eingetragen.

@All: Wie viel Geld ist uns die Verschlüsselung wert?

#6 Von Anonym vor mehr als 3 Jahren aktualisiert

Jede Geldausgabe und Preiserhöhung schmerzen. Aber ich sehe nicht wie wir dieser Tage als gefühltes "Vorzeigeprojekt" um eine Verschlüsselung herumkämen. Ich würde die Kosten daher mittragen.

#7 Von Denis Kurz vor mehr als 3 Jahren aktualisiert

Ich bin auf jeden Fall dafür.

Wäre ich auch, wenn das Arbeiten mit dem Redmine nicht so furchtbar umständlich wäre. Im Moment klicke ich nämlich immer auf die Links in den Mails, nur um festzustellen, dass ich mich über orga.do-foss.de sowieso nicht einloggen kann...

#8 Von Till Schäfer vor mehr als 3 Jahren aktualisiert

dafür

#9 Von Nicolai Parlog vor mehr als 3 Jahren aktualisiert

  • Beschreibung aktualisiert (diff)
  • % erledigt wurde von 50 zu 60 geändert

Habe die Abwägung und unseren Beschluss in der Beschreibung festgehalten und werde mich demnächst um die Umsetzung kümmern.

#10 Von Nicolai Parlog vor etwa 3 Jahren aktualisiert

  • Beschreibung aktualisiert (diff)
  • % erledigt wurde von 60 zu 70 geändert

Jüngste Recherchen und Beschluss vom Treffen am 06.09.2014 eingetragen.

#11 Von Nicolai Parlog vor etwa 3 Jahren aktualisiert

  • Beschreibung aktualisiert (diff)
  • % erledigt wurde von 70 zu 80 geändert

Ergebnis der Nachfrage bei Saas Secure eingetragen (siehe den Abschnitt Redmine ziemlich weit unten). Ich schlage vor, das so zu machen.

#12 Von Till Schäfer vor etwa 3 Jahren aktualisiert

klingt für mich auch nach einer guten Lösung (einfaches Zertifikat für orga.do-foss.de / 1,50€ pro Monat). Dadurch werden etwaige Workarounds unnötig und die Verschlüsselung an wichtigen Stellen lässt sich auch in der Praxis einfach anwenden.

=> Ich votiere dafür.

#13 Von Denis Kurz vor fast 3 Jahren aktualisiert

  • Assoziiert mit Nicolai Parlog wurde hinzugefügt

#14 Von Nicolai Parlog vor fast 3 Jahren aktualisiert

  • Beschreibung aktualisiert (diff)
  • Abgabedatum wurde auf 12.01.2015 gesetzt
  • Status wurde von In Bearbeitung zu Erledigt geändert
  • % erledigt wurde von 80 zu 100 geändert

Erledigt. Wenn keine Rückmeldungen kommen, schließe ich das Ticket demnächst.

#15 Von Nicolai Parlog vor fast 3 Jahren aktualisiert

  • Beschreibung aktualisiert (diff)

Korrekturen...

#16 Von Nicolai Parlog vor fast 3 Jahren aktualisiert

  • Abgabedatum wurde von 12.01.2015 zu 12.02.2015 geändert
  • Status wurde von Erledigt zu Geschlossen geändert

Das 30-tägige Probezertifikat wurde durch ein einjähriges "echtes" abgelöst. Die Validationsverfahren und unsere Probleme damit sind im Wikiartikel festgehalten.

Auch abrufbar als: Atom PDF

Bild aus Zwischenablage einfügen (Maximale Größe: 300 MB)